Конец эпохи кражи cookie? Стартовал Phase 2 DBSC — новой защиты сессий от Google

leer en español

Chrome DBSC аутентификация безопасность TPM сессии
Конец эпохи кражи cookie? Стартовал Phase 2 DBSC — новой защиты сессий от Google
Chrome DBSC аутентификация безопасность TPM сессии

Новый стандарт DBSC превращает браузер в криптокошелёк для сессий.

image

В октябре 2025 года стартовал второй этап испытаний технологии Device Bound Session Credentials (DBSC), направленной на защиту веб-сессий от кражи cookie и перехвата учётных данных. Новый этап продлится до начала февраля 2026 года и впервые охватывает реальные условия эксплуатации, включая обратную связь от разработчиков, участвовавших в предыдущем тестировании.

Основное внимание уделено повышению стабильности и предсказуемости работы механизма, а также введению дополнительных возможностей, упрощающих интеграцию в существующие системы аутентификации. Одним из ключевых новшеств стала поддержка кросс-сайтовых сессий: если несколько сайтов используют общий сервер авторизации, DBSC теперь позволяет делиться криптографическими ключами между ними, не создавая отдельные токены для каждого домена.

Для удобства анализа добавлен новый диагностический HTTP-заголовок Secure-Session-Skipped, поясняющий причины, по которым запрос обновления не был выполнен. Это упрощает отладку и помогает выявлять сбои при тестировании.

Помимо функциональных дополнений, обновлён сам протокол. Теперь большинство заголовков используют префикс Secure-Session- вместо прежнего Sec-Session-, что отражает переход к более строгой терминологии. JWT-структура сообщений переработана для унификации между различными реализациями, а в схемах взаимодействия при вызове challenge сервер отвечает статусом 403 Forbidden вместо 401 Unauthorized. Некоторые параметры, например include_site, стали обязательными для корректной работы.

Второе испытание проводится на устройствах с Windows, оснащённых модулем TPM, обеспечивающим аппаратное хранение ключей. Расширение поддержки для других платформ планируется в дальнейшем. Разработчикам, впервые работающим с DBSC, предлагается использовать руководство по ручному тестированию: интеграция с DevTools пока не завершена, поэтому основная диагностика выполняется через сетевые логи и внутренние метрики Chrome.

Для участия необходимо получить индивидуальный токен на странице регистрации и добавить его на страницу, где отправляется заголовок Secure-Session-Registration — как правило, на форму входа. Отдельная регистрация для точек обновления или повторной активации не требуется.

Вся документация, включая описание спецификации, примеры интеграции и список изменений в Chromium, опубликована на официальных ресурсах проекта. Команда разработчиков призывает участников делиться результатами и замечаниями через GitHub, чтобы помочь в формировании следующего поколения механизмов защиты веб-сессий.